RESTRICT_SYSLOG - Funções e Dicas para aativar no CSF imprimir

  • 0

Infelizmente, syslog e rsyslog permitir que os usuários finais para registrar mensagens para alguns
logs do sistema via mesmo soquete do unix que outros serviços locais usam . este
significa que qualquer linha de log mostrado nesses logs de sistema que syslog ou rsyslog
manter podem ser falsificados (são exatamente o mesmo que as linhas de log reais ) .

Uma vez que algumas das características do lfd confiar em tais linhas de registro , mensagens falsificado
pode causar jogos falso-positivos que podem levar a confusão na melhor das hipóteses , ou
bloquear de qualquer endereço IP inocente ou fazer o servidor inacessível no
pior .

Qualquer opção que conta com as entradas de log nos arquivos listados no
/ etc / syslog.conf e / etc / rsyslog.conf deve, portanto, ser considerada
vulneráveis ​​à exploração por parte dos usuários e executar scripts por usuários finais .

NOTA: Nem todos os arquivos de log são afetados , pois não pode usar syslog / rsyslog

O RESTRICT_SYSLOG opção desativa todas estas características que dependem afetada
registros . Estas opções são:
LF_SSHD LF_FTPD LF_IMAPD LF_POP3D LF_BIND LF_SUHOSIN LF_SSH_EMAIL_ALERT
LF_SU_EMAIL_ALERT LF_CONSOLE_EMAIL_ALERT LF_DISTATTACK LF_DISTFTP
LT_POP3D LT_IMAPD PS_INTERVAL UID_INTERVAL WEBMIN_LOG LF_WEBMIN_EMAIL_ALERT
PORTKNOCKING_ALERT

Esta lista de opções de usar os logs , mas não são desativados por RESTRICT_SYSLOG :
ST_ENABLE SYSLOG_CHECK LOGSCANNER CUSTOM * _LOG

As seguintes opções ainda são ativadas por padrão em novas instalações de modo
que , no cômputo geral, CSF / LFD ainda oferece níveis esperados de segurança :
LF_SSHD LF_FTPD LF_POP3D LF_IMAPD LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT

Se você definir RESTRICT_SYSLOG para "0" ou "2" e permitir que qualquer uma das opções listadas
acima , ele deve ser feito com o conhecimento de que qualquer das referidas opções
que estão habilitados poderia ser desencadeada por linhas de registro falsificado e levar ao
servidor ser inacessível na pior das hipóteses . Se você não quer ter essa
risco que você deve definir RESTRICT_SYSLOG para "1" e esses recursos não funcionarão
mas você não estará protegido contra as façanhas que eles normalmente ajudar a bloquear

A configuração recomendada para RESTRICT_SYSLOG é "3" para restringir quem pode acessar
socket unix o syslog / rsyslog .

Mais informações sobre como ajudar a mitigar esses problemas, consulte
/ etc / csf / readme.txt

0 = Permitir essas opções listadas acima para ser usado e configurado
1 = Desativar todas as opções listadas acima e evitar que sejam usados
2 = Desativar apenas alerta sobre esse recurso e nada mais
3 = Restringir syslog / acesso rsyslog para RESTRICT_SYSLOG_GROUP

Esta resposta lhe foi útil?

« Retornar